Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 Oslo. 1. Innledning

Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 Oslo Vår ref.: 201700161/62 IBRA/INGU Arkiv: 311 Saksbehandler: Inga Brautaset Deres ref.: 17/4200ES/bj Dato: 16.10.2017 1. Innledning Vi viser til høringsbrev datert 06.07.17 om ny personopplysningslov som skal gjennomføre EUs personvernforordning i norsk rett. NSD - Norsk senter for forskningsdata (NSD) sin erfaring med dagens personvernregelverk er først og fremst relatert til vår rolle som personvernombud for forsking. NSDs høringssvar fokuserer derfor på forslagets konsekvenser for forskning, herunder ordningen med personvernombud, endringer i krav til meldeplikt og forhåndsgodkjenning samt mulighetene til å behandle personopplysninger til ulike forskningsformål. NSD har bygget kunnskap og løsningsmodeller for forskningssektoren på personvernområdet i over 35 år. Dette i nært samarbeid med forskningsinstitusjonene og Datatilsynet. I dag er NSD personvernombud for 137 forsknings- og utdanningsinstitusjoner, herunder alle universitetene, vitenskapelige og statlige høgskoler, private høgskoler, flere helseforetak og sykehus og en rekke frittstående forskningsinstitutter og kompetansesentre. Gjennom arbeidet som personvernombud for forskning har NSD bygget opp kompetanse, uavhengighet og ressurser som gjør oss godt i stand til å levere personverntjenester til forskningssektoren etter at det nye regelverket trer i kraft. Departementet ber høringsinstansene om innspill på hvordan ordningen med NSD som personvernombud for forskningssektoren kan videreføres, og skisserer ulike modeller. Vi mener i tråd med departementets forslag, at NSD kan og bør fortsette som personvernombud for forskningsvirksomheten ved institusjonene når forordningen trer i kraft. Vi kan se for oss alternative løsninger, som å være personvernrådgiver for interne ombud ved institusjonene eller eventuelt å være personvernombud for hele virksomheten. Men vi tror den beste løsningen både for institusjonene, forskningen og personvernet er at NSD fortsetter som personvernombud for forskning. Dette utdyper vi nærmere i kap.2. Ellers vil vi innledningsvis bemerke at det etter NSDs oppfatning viktig å få på plass en supplerende bestemmelse i norsk lov som klart og entydig fastslår at personopplysninger kan brukes til forskningsformål og arkivformål i allmenhetens interesse, med hjemmel i forordningens artikkel 6. Vi mener også det er nødvendig å få på plass en generell bestemmelse som gir private og offentlige forskningsinstitusjoner lovlig behandlingsgrunnlag til å forske på strafferettslige opplysninger slik Sverige, Danmark og Finland foreslår. NSD foreslår videre at man tar inn en bestemmelse som tydeliggjør adgangen til sammenstilling og utlevering av personopplysninger til forskingsformål også på tvers av landegrenser. Det vil bidra til å sikre en bedre og mer harmonisert utforming og praktisering av norsk personvernlovgivning og gi signaler til tilgangsforvalterne om at det er lov å NSD Norsk senter for forskningsdata AS NSD Norwegian Centre for Research Data Harald Hårfagres gate 29 NO-5007 Bergen, NORWAY Tel: +47-55 58 21 17 Faks: +47-55 58 96 50 nsd@nsd.no www.nsd.no Org.nr. 985 321 884

utlevere data til forskning også i personidentifiserbar form når det er nødvendig for forskningsformålet. Det vises til høringssvaret for utdyping av disse spørsmålene. 2 2. Personvernombudsordningen 2.1 Nedbygging av Datatilsynets forhåndskontroll, styrking av personvernombudsordningen Forordningen bygger ned tilsynsmyndighetenes forhåndskontroll, og legger stor vekt på ansvaret hos virksomheten som skal behandle personopplysninger. Personvernombudsordningen lovfestes som en sikkerhetsmekanisme for å fremme etterlevelse av regelverket. Mange virksomheter får plikt til å opprette personvernombud, og ombudets overordnede mandat er å bistå institusjonen med å innfri kravene i forordningen. Ombudet skal være en spesialrådgiver på personvernfeltet og rapportere til institusjonsledelsen som har det juridiske ansvaret for behandlingen av personopplysninger. For at ombudsordningen skal fungere etter intensjonen, stiller forordningen krav til personvernombudets stilling, kompetanse og oppgaver. Ombudet skal blant annet delta i personvernkonsekvensvurderinger og være kontaktpunkt mellom behandlingsansvarlige og Datatilsynet ved forhåndsdrøfting av behandlinger som har høy personvernrisiko. Under forhåndsdrøftingen kan Datatilsynets gi råd, eller gi «helt eller delvis avslag» til forskningsprosjekter som innebærer høy personvernrisiko (jf. art. 35 nr. 2, jf. art. 58 bokstav d)-f)). I forslag til ny personopplysningslov foreslår departementet å fjerne den generelle konsesjonsplikten. Samtidig foreslås det at institusjoner som skal behandle sensitive personopplysninger til forskningsformål må utpeke personvernombud og få tilrådning fra ombudet før hver behandling (jf. lovforslaget 6). NSD gir sin fulle tilslutning til disse forslagene. For den den norske forskningssektoren innebærer forordningen og det norske lovforslaget i hovedsak en videreføring av dagens frivillige ordning med personvernombud. Som personvernombud for forskning har NSD i over 35 år mottatt melding om forskningsprosjekter, utredet personvernkonsekvenser, og ved behov sørget for forhåndsdrøfting med Datatilsynet. Det som blir nytt fremover er at personvernombudsordningen blir obligatorisk og må omfatte alle forskningsprosjekter, herunder medisinske og helsefaglige prosjekter. Helseforskningen kommer vi tilbake til i del 5 om særlovgivningen. I det følgende vil vi bruke litt plass på å drøfte NSDs fremtidige rolle som leverandør av personverntjenester for forskningssektoren. Men først en kommentar til valg av begrepet «personvernrådgiver» vs. «personvernombud». 2.2 Personvernombud eller personvernrådgiver? Departementet har i den foreløpige oversettelsen valgt å bruke begrepet «personvernrådgiver» i stedet for «personvernombud», uten at navneskiftet er begrunnet. Vi mener at et slikt navneskifte vil være uheldig. Det nye regelverket styrker og utvider personvernombudsordningen. Det blir obligatorisk for mange virksomheter å utpeke personvernombud, og ombudets rolle, stilling og oppgaver er klart definert gjennom egne bestemmelser i forordningen. Vi mener at formuleringen «personvernrådgiver» ikke reflekterer særstillingen som personvernombudene derved får. Tvert i mot gir formuleringen «rådgiver» inntrykk av at ombudet bare er én av mange rådgivere i en bedrift, ettersom begrepet «rådgiver» benyttes om mange og ulike stillingstitler ellers i arbeidslivet. Et navneskifte fra «ombud» til «rådgiver» vil også være uheldig av praktiske grunner. Begrepet «personvernombud» er godt innarbeidet i de norske forskningsmiljøene, som også er de fagmiljøene på europeisk basis som har lengst erfaring med bruk av personvernombud. Et navneskifte vil sannsynligvis skape både unødvendig forvirring og merarbeid. Etter vår mening er dette i seg selv et vektig moment mot å endre navn. NSD mener den foreslåtte navneendringen i Norge kan bidra til å svekke personvernombudets stilling både i forskningsmiljøene og i allmennheten. Det er verdt å merke seg at Sverige, som i likhet med Norge har lang tradisjon med en vellykket satsing på personvernombudsordningen, velger å

videreføre begrepet «dataskyddsombud». Danmark, som velger begrepet «personvernrådgiver», har derimot ikke denne tradisjonen. Benevnelsen «personvernrådgiver» mener vi vil svekke ordningen og virke mot sin hensikt. NSD vil derfor anbefale at Norge gjør som Sverige og viderefører begrepet «personvernombud». Her er vi på linje med mange personvernombud innen helse og forskning, og NSD støtter derfor et fellesinnspill fra disse ombudene på dette. 3 2.3 NSDs fremtidige rolle som leverandør av personverntjenester tre modeller Vi er tilfreds med at departementet er fornøyd med NSD som personvernombud for forskning, og ønsker at ordningen videreføres. Departementet viser til ordningen i argumentasjonen for kravet om tilrådning i 6: «Det nevnes i denne forbindelse at ordningen der Norsk senter for forskningsdata (NSD) er personvernrådgiver for en rekke forskningsinstitusjoner når det gjelder forskningsvirksomhet, tilsynelatende fungerer godt, og at det er ønskelig at en slik ordning kan videreføres også under forordningen» (Departementets uttalelse, Høringsnotatet s. 39). Departementet ber høringsinstansene om innspill på hvordan ordningen kan videreføres, og skisserer tre modeller: 1) Departementet åpner for en videreføring av dagens funksjonsdeling, der en institusjon har flere personvernombud som dekker ulike deler av institusjonens aktivitet. Departementet viser til at denne ordningen for eksempel kan være aktuell der et universitet, som driver omfattende virksomhet utover forskning, er pålagt å utpeke personvernombud. Denne modellen innebærer at dagens ordning videreføres, der NSD er ombud for forskning ved de store institusjonene (f.eks. i UH-sektoren og helsesektoren), samtidig som disse oppretter eller viderefører internt ombud for sin øvrige virksomhet. 2) Departementet åpner også for at en institusjon som har forskning som primærvirksomhet, trolig kan ha ett personvernombud som dekker dette feltet. Denne modellen innebærer også en videreføring av dagens ordning, der NSD er ombud for forskning for mindre institusjoner. 3) Som et alternativ skisserer departementet en modell der NSD kan være rådgiver for et internt personvernombud. Denne modellen innebærer at NSD fortsetter å være et nasjonalt ressurs- og kompetansesenter for personvern i forskning, men ikke lenger har rolle som ombud. Det er i stedet tenkt at NSD yter personverntjenester til interne ombud som er opprettet ved hver forskningsinstitusjon. 2.4 NSD fortsetter som personvernombud for forskning (modell 1 og 2) Vår mening er at NSD kan og bør fortsette som personvernombud for forskning ved institusjonene når forordningen trer i kraft. Vi ønsker altså en videreføring av dagens ordning, der de store institusjonene (f.eks. i UH-sektoren og helsesektoren) har NSD som ombud for forskning og et internt ombud for sin øvrige virksomhet (jf. modell 1), og de mindre institusjonene som primært driver forskning (som forskningsinstituttene) har NSD som eneste ombud for forskningsvirksomheten (modell 2). NSD kan selvsagt også stille seg til disposisjon som rådgiver for interne ombud (jf. modell 3), gjennom rollen vi har som nasjonalt kompetansesenter for personvern i forskning. Men vi mener helt klart at den beste løsningen både for institusjonene, forskningen og personvernet er at NSD fortsetter som personvernombud for forskning (jf. modell 1 og 2). Dette vil vi begrunne nærmere i det følgende, hvor vi tar utgangspunkt i forordningens krav til personvernombudets stilling, kompetanse og oppgaver. 2.4.1 Forordningen åpner for at flere virksomheter kan dele ombud NSD tolker forordningen slik at dagens ordning med NSD som felles personvernombud for forskning, kan videreføres. Vi viser til at art. 37 nr. 3 hjemler at offentlige myndigheter eller organer

som er behandlingsansvarlige eller databehandlere kan utpeke ett personvernombud for flere slike offentlige organer. Videre hjemler art. 37 nr. 2 at et konsern kan oppnevne ett personvernombud. Hvorvidt andre, dvs. innbyrdes uavhengige, private aktører har adgang til å oppnevne et felles personvernombud på lik linje med offentlige organer og konsern, er ikke direkte adressert i bestemmelsen. Det er imidlertid verdt å merke seg at 37 nr. 6 (som eksplisitt sier at personvernombudet kan yte tjenester basert på en kontrakt) ikke har noen reservasjon mot å inngå en personvernkontrakt med et ombud som allerede er personvernombud for andre virksomheter. Problemstillingen er heller ikke adressert i fortalen, noe som kan tyde på at det ikke har vært meningen å stenge for en slik organisering. Vi kan heller ikke se at det er fastsatt noe forbud mot at en virksomhet oppretter flere ombud med en klar funksjonsdeling seg i mellom, slik praksis har vært i forskningssektoren, og slik departementet legger til grunn i sitt forlag. Vi leser også Artikkel 29-gruppens veileder slik at den åpner for denne tolkningen. NSD mener det er positivt at flere institusjoner kan gå sammen om å utnevne felles personvernombud, også etter forordningen, og at dette ombudet kan ha en del av institusjonenes virksomhet (her: forskning) som sitt ansvarsområde. Dette legger til rette for at en aktør som har spesialisert seg på ett felt kan dele kunnskap med en hel sektor, noe som igjen medvirker til en enhetlig praksis mellom institusjonene og for forskningen som sådan. Motsatt er det fare for relativt stor forskjellsbehandling, dersom mange små ombud skal gi tilrådninger på forskningsområdet, der personvernregelverket åpner for mange unntak, og dermed for mange tolkninger. 2.4.2 Personvernombudets kompetanse og stilling art. 37 og 38 Forordningens art. 37(5) stiller krav til personvernombudets kompetanse. Ombudet skal utpekes på grunnlag av faglige kvalifikasjoner, dybdekunnskap om personvernlovgivning og praksis på området, samt evne til å utføre sine lovpålagte oppgaver. Videre stiller forordningen art. 38 krav til personvernombudets stilling. Personvernombudet skal involveres i alle personvernspørsmål, ha nok ressurser og en posisjon som gjør det mulig å arbeide uavhengig, uten instrukser eller interessekonflikt. Under vil vi begrunne hvordan NSD oppfyller disse kravene. Ekspertise innen personvernrett og evne til å utføre oppgavene NSD har i over 35 år arbeidet med personvernspørsmål for forskningssektoren. Det var sektoren selv som i samspill med Datatilsynet etablerte en felles personvernenhet for forskning ved NSD i 1981 da personregisterloven kom. Ordningen ble videreført under personopplysningsloven med NSD som personvernombud for forskning. Seksjon for personverntjenester har i dag 20 heltidsansatte med ulike fagbakgrunner (jus, samfunnsvitenskap, humaniora, psykologi og helse). I tillegg kommer administrerende direktør (som er oppnevnt som personvernombud), ledere på seksjons- og avdelingsnivå, kontorpersonale og teknologer. Personvernombudet trekker i tillegg på hele fagkompetansen ved NSD, både når det gjelder dataforvaltning i vid forstand og på IKT-siden. NSD har i dag litt i underkant av 100 ansatte, hvorav 35 er spesialister innen IKT. Vi dekker hele livssyklusen i forskningsprosessen, og har betydelig kompetanse på informasjonssikkerhet og IKTløsninger. Dette gir NSD som nasjonalt kompetansesenter en spisskompetanse på personvernområdet som er unik både nasjonalt og internasjonalt. Det gir også norske forskningsmiljøer tilgang til bred kompetanse og et faglig forum for diskusjon, rådgivning og opplæring, som sikrer likebehandling av forskningen og god kvalitet på tjenestene og rådgivningen vi leverer. Med en så stor stab blir ombudet ved NSD mer robust enn ombud som består av en eller to personer, fordi kunnskapen og løsningene vi har bygget for sektoren vedvarer når ansatte slutter, er syke eller i permisjon og nye kommer inn. Et nylig eksempel i så måte er et større universitetssykehus som så seg nødt til å søke hjelp hos NSD da deres ombud fratrådte stillingen. Gjennom saksbehandlingen, som er vår hovedaktivitet, får vi svært god kunnskap om alle aspekter av personvern i forskningssammenheng. NSD mottar årlig et stort antall forsknings- og studentprosjekter til vurdering, og det har vært en jevn stigning i meldinger de siste årene. I 2016 4

vurderte vi ca. 5.500 meldinger om nye prosjekter og ca. 950 endringsmeldinger (se figur 1). I tillegg kontaktet vi ca. 6.000 prosjekter i sluttfasen, for å sikre lovlig avslutning. 5 7000 6000 5000 4000 3000 Endringsmeldinger Meldeskjema 2000 1000 0 2012 2013 2014 2015 2016 Figur 1 Antall meldeskjema og endringsmeldinger per år Prosjektene tilhører alle fagområder, slik at det er betydelig variasjon i metoder, utvalgsgrupper og type data. Det store tilfanget av prosjekter over tid og variasjonen i de konkrete behandlingene, gjør at NSD har både lang og bred erfaringskompetanse i hvordan generelle personvernregler og de særregler som gjelder for forskning får anvendelse i praksis. I tillegg kjenner vi fagene og deres behov. I tillegg til saksbehandlingen bistår NSD forskningsinstitusjonene på systemnivå, gjennom råd og veiledning til ledelsen og forskningsadministrasjonen, og gjennom Meldingsarkivet som gir ledelsen oversikt og mulighet til å føre kontroll med egne behandlinger (se pkt. 2.4.3). Vi bistår også institusjonene i avvikssaker, ved tilsyn og gir råd ved utarbeiding av internkontrolldokumenter. Frem mot forordningen trapper vi opp denne delen av virksomheten. NSD ønsker å bli en sterkere pådriver for god internkontroll og informasjonssikkerhet hos forskningsinstitusjonene, og bistå dem bedre i avvikssaker og ved tilsyn. Som personvernombud holder NSD seg godt orientert og deltar aktivt i debatten om utviklingen av personvernlovgivningen både nasjonalt og internasjonalt. Vi har tett dialog med Datatilsynet og er godt orientert om tilsynets tolkning av loven, både gjennom konsesjonsbehandlingen, møter og tilsynets veiledningsmateriell. Vi deltar jevnlig på fagdager og kurs om personvern, regelverk og etikk i forskning, arrangert av Datatilsynet, etiske komiteer og andre aktører på feltet. Vi deltar i høringer om lover som berører vårt felt, og i ulike arbeids- og referansegrupper bl.a. for Statistikklovutvalget og Helsedataprogrammet. Internasjonalt har vi deltatt i en rekke større EU-prosjekter på personvernområdet både innenfor medisin og samfunnsvitenskap. Vi leder nå en arbeidspakke i EU-prosjektet SERISS, 1 om juridiske og etiske utfordringer ved bruk av nye former for data. NSD leder også et nordisk prosjekt hvor formålet er å bidra til en harmonisert nordisk implementering av EUs personvernforordning. NSD følger og har deltatt i møter om BBMRI ERICs arbeid med å utarbeide en «code of conduct» for helseforskning, og har tatt initiativ innenfor rammen av SERISS der bl.a. CESSDA ERIC, ESS ERIC OG SHARE ERIC deltar, til en tilsvarende europeisk «code of conduct» eller atferds norm for samfunnsvitenskapelig forskning. NSD har altså over tid opparbeidet seg en betydelig kompetanse om personvernspørsmål i forskning, og har god kunnskap om tolkning og praktisering av dagens regelverk på området, 1 https://seriss.eu/

uavhengig av fagfelt. Dette gjennom saksbehandlingen av forskningsprosjekter, tett dialog med forskningsinstitusjonene og Datatilsynet, og deltakelse i nasjonale, nordiske og europeiske utredninger og fora. NSD er også i forskningsfronten når det gjelder utvikling av IKT-løsninger basert på innebygd personvern. Det vises i denne sammenheng til RAIRD-prosjektet, der NSD og Statistisk sentralbyrå sammen utviklet en avansert IT-plattform for tilgang til detaljerte persondata til forskningsformål som samtidig sikrer full anonymitet på brukersiden. 2 NSD leder prosjektet og er ansvarlig for de teknologiske løsningene. Statistisk sentralbyrå har hovedansvaret for data og metadata. Denne kompetansen, som vi aktivt vedlikeholder, er etter vår mening en stor fordel i vår utøvelse av ombudsrollen, både for institusjonene, forskerne og de registrerte. Vi mener derfor vi innfrir forordningens krav til personvernombudets kompetanse. Nok ressurser Gjennom 35 år har hovedtyngden av den norske forskningssektoren sett seg tjent med å ha en felles personvernenhet ved NSD, fremfor å ha ett ombud ved hver forskningsinstitusjon. Det er fordi denne løsningen gir stordriftsfordeler, ikke bare når det gjelder kompetanse (som vist over), men også på økonomisiden. NSD er et heleid statlig selskap med klart ikke-kommersielt formål, og tjener ikke penger på personverntjenestene. Ordningen finansieres av forskningsinstitusjonene etter selvkostprinsippet, og personvernombudets oppgaver og finansiering er regulert i avtalene mellom institusjonene og NSD. Hver institusjon får dermed «mye for pengene». Arbeidsmengden hos personvernenheten ved NSD har økt jevnt siden ordningen ble opprettet, både fordi flere institusjoner har sluttet seg til, og fordi antall meldinger fra hver institusjon har økt. Parallelt med dette har NSD tilpasset seg forskningssektorens behov gjennom oppbemanning, systemutvikling og omorganisering. I 2005 innførte vi i samråd med UHR en finansieringsmodell der hver forskningsinstitusjon betaler et årlig grunnbeløp beregnet etter institusjonens størrelse i tillegg til en stykkpris per meldeskjema. Denne modellen har fungert godt og gir institusjonene forutsigbarhet mht. kostnadene for personverntjenestene. Som nevnt over har personvernombudet ved NSD i dag 20 heltidsansatte ved siden av ledelse, kontorpersonale og teknologer. I tillegg har ombudet god nytte av kompetansen innen IKT og dataforvaltning hos øvrige medarbeidere ved NSD. Personvernombudet for forskning er nå inne i en omstillingsprosess hvor vi analyserer og forbedrer våre rutiner, systemer og ressursbruk slik at de samsvarer med kravene i forordningen og ny personopplysningslov. NSD ser at forskningsinstitusjonene trenger mer veiledning om internkontroll, og har derfor økt innsatsen på dette området de siste årene. Vi har nå en egen arbeidsgruppe som veileder om internkontroll, og vi holder foredrag/kurs for ledere og forskerstøttepersonell for å styrke institusjonenes personvernopplæring av forskere og rutiner for egenkontroll med forskningen. Samtidig videreutvikler vi Meldingsarkivet slik at det gir institusjonene den informasjonen de trenger om hvert forskningsprosjekt iht. nytt regelverk. Vi korter ned saksbehandlingstiden for lavrisikoprosjekter og frigjør mer tid til prosjekter med høyere personvernrisiko. Vi fornyer også systemene for enklere innregistrering av prosjekter for forskere/studenter og effektivisering av saksbehandlingen. NSD vurderer bemanningen hos personvernombudet fortløpende, slik at den til enhver tid samsvarer med oppgavene vi har, både før og etter forordningen trer i kraft. Vi ser også på ulike finansieringsmodeller, og vil forhandle frem en løsning med forskningsinstitusjonene som dekker deres behov etter det nye regelverket. Vi mener derfor vi innfrir forordningens krav til at personvernombudet skal ha nok ressurser. 6 2 Norsk teknologi vil gi bedre personvern og mer effektiv forskning http://forskning.no/meninger/kronikk/2017/09/norsk-teknologi-vil-gi-bedre-personvern-og-mer-effektivforskning-raird-registerdata

Personvernombudets uavhengighet Som eksternt personvernombud med en stab av medarbeidere, har NSD en viss distanse til forskningsinstitusjonene og deres forskere og studenter. Denne avstanden gir høy grad av uavhengighet. Det er lettere å gi «upopulære råd» i enkeltprosjekter og å varsle ledelsen om avvik i konkrete saker eller på systemnivå når vi ikke er nære kollegaer med forskerne eller lederne. Dersom en av våre saksbehandlere kjenner forskeren som har meldt inn et prosjekt, er det lett å la en annen saksbehandler overta saken. Vi unngår på den måten mulige habilitetsproblemer og press som interne ombud vil kunne oppleve. Ombudets uavhengighet er et svært viktig premiss for å kunne ivareta personvernet til den registrerte. Det gjelder etter vårt syn spesielt i forskningssektoren, hvor regelverket gir mulighet for mange unntak, både fra formåls- og lagringsbegrensningen, og fra de registrertes rettigheter. Det er ikke uvanlig at forskere og studenter utformer sine prosjekter på en slik måte at det strider med personopplysningsloven. Det kan gjelde valg av metoder for rekruttering, datainnsamling, lagring og deling av opplysninger, og for avslutning. Det kan handle om at forsker har manglende vilje til å innhente aktivt samtykke selv om det ikke er gode grunner for å la være, eller til å informere deltagerne om alle sider ved prosjektet, f.eks. at opplysningene den registrerte gir skal kobles mot data fra registre. I slike tilfeller er det vår oppgave som personvernombud å påpeke regelbruddene og foreslå løsninger som justerer prosjektopplegget i tråd med loven. Det er heller ikke uvanlig at personvernombudet ved NSD må «ta mange runder» med enkeltforskere og studenter før en behandling kan tilrås, og at saksbehandlerne opplever press om å tilrå prosjekter som ikke oppfyller vilkårene i loven. I spesielt vanskelig saker opplever vi det som en styrke at saksbehandler og forsker ikke er nære kollegaer eller bekjente, og at NSD som nasjonal infrastruktur for forskning har et godt omdømme og nyter tillit i miljøene. Mangelen på en tilrådning medfører jo i verste fall at prosjektet ikke kan gjennomføres, og for eksternt finansierte prosjekter kan det bety at institusjonen ikke får tildelt oppdraget og prosjektmidlene. Ved små institusjoner som har internt ombud, og hvor det er økt risiko for at forskerne og ombudet er nære kollegaer, er det lett å forestille seg at slike situasjoner legger stort press på ombudet og kan påvirke saksbehandlingen av kontroversielle prosjektopplegg. Man kan selvsagt stille spørsmål ved om det kan påvirke vår uavhengighet at NSD er personvernombud basert på en kontrakt som kan sies opp. Forordningen slår imidlertid fast at et personvernombud kan yte tjenester basert på en kontrakt, og stiller samtidig krav om uavhengighet. Fortalen 97 sier også eksplisitt at personvernombud «enten de er ansatt hos den behandlingsansvarlige eller ikke, bør kunne utføre sine funksjoner og oppgaver på en uavhengig måte.» Det kan, etter vår mening, ikke forstås på annen måte enn at forordningen ikke anser det som noe problem for uavhengigheten (per se) at et eksternt ombud yter tjenester basert på en kontrakt. Kravene om at personvernombudet skal kunne arbeide uavhengig retter seg mot behandlingsansvarlige. NSD har ingen indikasjon på at noen så langt sagt opp kontrakten på grunn av misnøye med saksbehandlingen. Vi opplever tvert i mot at institusjonene er fornøyd med ordningen og at NSD nyter høy respekt i sektoren for de ombudsoppgavene vi utfører, også i tilfeller der vi har avdekket avvik som har medført at institusjonen har måttet varsle Datatilsynet og er blitt staffet med vedtak og bot fra tilsynets side. Vi mener derfor vi innfrir forordningens krav om personvernombudets uavhengighet. 2.4.3 Personvernombudets oppgaver forordningens art. 39 Forordningens art. 39 stiller krav til personvernombudets oppgaver. Ombudet skal som et minimum gi råd og veiledning om regelverket til institusjonen som behandler personopplysninger og dennes ansatte, kontrollere overholdelsen av regelverket, delta i personvernkonsekvensvurderinger, samarbeide med tilsynsmyndigheten og fungere som dennes kontaktpunkt ved eventuelle spørsmål om behandlingen, herunder ved forhåndsdrøftinger. Under vil vi begrunne hvordan NSD er i stand til å utføre disse oppgavene, gjennom en videreutvikling av de personverntjenester vi utfører for forskningssektoren i dag. 7

Informasjon og rådgivning til virksomheten og ansatte om personvernregler En sentral oppgave for personvernombudet er å veilede ledelsen og de ansatte i virksomheten om reglene for personvern. NSD har spesialisert seg på personvernproblematikk innen forskningsfeltet. Som personvernombud gir vi daglig veiledning til studenter og forskere i alle faser av forskningen, både ved oppstart, underveis ved endringer, ved prosjektslutt, og ved eventuell gjenbruk av persondata. Vi har en generell veiledningstjeneste på epost og telefon som er åpen daglig fra kl. 10-14, hvor de fleste får svar samme dag, og en chattetjeneste er på tegnebrettet. I forbindelse med vurderingen av innsendte prosjekter har vi tett dialog med forsker og student/veileder om reglene som gjelder den konkrete behandlingen de skal foreta. Dette fordi vi har erfart at en saksbehandling som i stor grad er basert på personlig kontakt og muntlig dialog med den enkelte forsker og student er helt nødvendig for å gi korrekte og gode råd/anbefalinger, og for å skape forståelse for og oppslutning om de justeringer og alternative løsninger vi ofte må foreslå for at prosjektopplegget skal være i tråd med regelverket. Vi gir også generell veiledning til institusjonens ledelse og forskningsadministrasjon om behandling av personopplysninger i forskning og krav til internkontroll. Dette er en del av tjenesten vi vil trappe opp frem mot forordningen, fordi vi ser at institusjonene har behov for mer konkret bistand i arbeidet med internkontroll og informasjonssikkerhet. Vi driver også utstrakt opplæring- og foredragsvirksomhet, hvor målgruppen hittil hovedsakelig har vært forskere og studenter. De siste årene har vi i større grad rettet foredragene mot forskerstøttepersonell og utvidet møtevirksomheten med ledelsen ved institusjonene. Før forordningen kommer vil vi arrangere kurs for disse målgruppene for å øke kompetansen hos forskningsinstitusjonene om hvilke krav forordningen stiller til internkontrollrutiner i forskningen, hva som er ledelsens ansvar og forskningsadministrasjonens oppgaver, og hvilken rolle personvernombudet har. Kontrollere overholdelsen av personvernregelverket En annen viktig oppgave personvernombudet har etter forordningen er å kontrollere at virksomheten følger forordningen, nasjonale særlover og interne retningslinjer for personvern. NSD utfører i dag en rekke kontrolloppgaver for de institusjoner som har oss som personvernombud, for å bistå dem med å overholde dagens regelverk. Disse vil vi tilpasse og videreføre etter forordningen. En sentral del av vårt tjenestetilbud til forskningsinstitusjonene er forhåndskontroll og etterkontroll av hvert innmeldte forskningsprosjekt. Forhåndskontrollen innebærer at den enkelte institusjon pålegger sine forskere og studenter veiledning og tilrådning fra NSD før oppstart av prosjekter som skal behandle personopplysninger, for å sikre at hvert forskningsopplegg oppfyller vilkårene i loven. Vi vurderer prosjektene bl.a. opp mot kravene om formålsbegrensning, grunnvilkår, behandlingsgrunnlag, de registrertes rettigheter, informasjonssikkerhet, eventuelt forskningssamarbeid/utlevering, og lagringstid. Etterkontrollen innebærer at NSD kontakter forsker/student ved oppgitt prosjektslutt og spør om personopplysningene er anonymisert eller lovlig arkivert. Årlig resulterer dette i mellom 900-1500 endringsmeldinger, fordi det viser seg at det er behov for å forlenge/endre tillatelsene, uten at forsker selv har husket å innhente dette. Etterkontrollen bidrar dermed til å sikre institusjonen lovlig grunnlag for videre behandling. Ved avvik eller manglende tilbakemelding fra forsker varsler vi institusjonsledelsen, som derved får anledning til å rydde opp. Vi bistår også ledelsen med avvikshåndteringen om ønskelig. En annen sentral del av vårt tilbud er Meldingsarkivet, en tilgangsregulert nettportal der vi gjør saksopplysninger og fullstendige saksdokumenter i hvert prosjekt tilgjengelig for behandlingsansvarlig forskningsinstitusjonen. Gjennom Meldingsarkivet kan institusjonens ledelse følge behandlingen av personopplysninger fra et prosjekt starter, gjennom eventuelle endringer og til prosjektet avsluttes og personopplysninger slettes, anonymiseres eller arkiveres i tråd med tillatelser fra relevante myndigheter. Meldingsarkivet er således et styringsverktøy som gir ledelsen oversikt over egne behandlinger, og gir gode muligheter til å føre egenkontroll med at forskningen oppfyller 8

vilkår i loven og i tillatelser gitt av ulike myndighetsorgan. Meldingsarkivet er også et godt redskap for ledelsen til å hente ut informasjon når Datatilsynet gjennomfører kontroll. Slik vi ser det, blir Meldingsarkivet et viktig hjelpemiddel for forskningsinstitusjonene for å oppfylle kravene i forordningen, bl.a. om protokoll (jf. art. 30) og dokumentasjon av at behandlingene utføres i samsvar med lovkravene (jf. art. 24). Når det gjelder kravet til dokumentert internkontrollsystem, har vi hittil gitt generell veiledning, og på forespørsel veiledet den enkelte institusjon om deres konkrete rutinebeskrivelser. Alle disse personverntjenestene som NSD utfører på vegne av institusjonene utgjør viktige brikker i deres internkontrollsystem, og bidrar til at forskningen gjennomføres på en måte som er lovlig og ivaretar forskningsdeltagernes rettigheter. For å være et godt personvernombud for forskning etter forordningen, ser vi imidlertid at det er nødvendig å trappe opp veiledningen om internkontroll og informasjonssikkerhet, spesielt med tanke på å gi institusjonene gode rutiner for opplæring av forskere, risikovurderinger, egenkontroll med forskningen og avvikshåndtering. Fremover vil vi derfor sette av mer ressurser til dette arbeidet. Vi vil arrangere kurs for ledelsen om hvordan de kan utforme et velfungerende internkontrollsystem for forskning. Vi vil også gi forskningsadministrasjonen opplæring både om hvordan de kan utføre egenkontroll bl.a. gjennom faste rutiner for bruk av Meldingsarkivet, og om hvordan de selv kan gi forskere og studenter mer systematisk opplæring om reglene for behandling av personopplysninger bl.a. ved at vi vil utvikle veiledningsmateriell som institusjonene kan bruke. Dette er en del av NSDs strategiske satsning på opplæring i håndtering av persondata ved institusjonene. Videre vil vi aktivt be om internkontrolldokumenter fra institusjonene våre og se på mulighetene for å utvikle en bransjenorm for internkontrollsystem for forskning. NSD er også i gang med å tilrettelegge våre prosedyrer og systemer - bl.a. innregistreringsskjema for prosjekter, Meldingsarkivet og saksbehandlingssystemet - slik at vi kan tilby løsninger som er i tråd med nye krav i forordningen. Gi råd om og delta i vurderinger av personvernkonsekvenser Forordningen pålegger den ansvarlige forskningsinstitusjonen å foreta en konsekvensvurdering før behandling av personopplysninger som trolig medfører høy risiko for de registrertes rettigheter og friheter, jf. art. 35. Personvernombudet har en viktig rolle i dette arbeidet, jf. art. 35(2) og 39 c). Den norske forskningssektoren har i praksis allerede innarbeidet gode rutiner for å utrede personvernkonsekvenser under veiledning fra personvernombudet ved NSD. I henhold til avtalen med NSD skal institusjonene melde alle forskningsprosjekter som skal behandle personopplysninger til NSD og avvente tilbakemelding før oppstart. Ved mottatt melding vurderer vi om behandlingen er meldepliktig eller konsesjonspliktig, og i så fall om den kan unntas konsesjonsplikt og gis tilrådning iht. personopplysningsforskriften 7-27. Som figur 2 viser blir de aller fleste prosjekter ferdigbehandlet av NSD. Av de rundt 5500 nye forsknings- og studentprosjektene som ble meldt til NSD i 2016 ble kun 1 % videresendt til Datatilsynet for konsesjonsbehandling. Tilsvarende blir endrings- og statusmeldinger i all hovedsak ferdigbehandlet ved NSD. 9

10 Ikke pliktig 4 % 7-27 (Unntatt fra konsesjonsplikt) 30 % 33 (konsesjonsplikti g prosjekt) 1 % 31 (Meldepliktig prosjekt) 65 % Figur 2 Melde- og konsesjonspliktige prosjekter 2016 Enten resultatet av saksbehandlingen er en tilrådning fra oss eller en konsesjonssøknad til Datatilsynet (som vi utformer i samråd med forsker), foretar NSD en konsekvensvurdering av personvernet i prosjektet. Konsekvensvurderingen består i at vi i samråd med veileder student/forsker utreder personvernkonsekvenser og vurderer hvordan prosjekt best kan oppfylle lovens vilkår og ivareta forskningsobjektenes rettigheter. Vi vurderer bl.a. om arten og omfanget av personopplysninger og varigheten på behandlingen står i et rimelig forhold til formålet. Hvis det ikke er tilfellet, bistår vi forsker med å justere prosjektopplegget. Det kan f.eks. vise seg at forskningen fint kan gjennomføres ved bruk av anonyme opplysninger, eller ved bruk av færre/mindre sensitive personopplysninger. I samtykkebaserte prosjekter gjør vi en grundig vurdering av om prosjektet legger opp til et samtykke som er fritt, informert og aktivt, slik at det er gyldig. Her er det ofte store veiledningsbehov. For prosjekter som ikke kan baseres på samtykke, vurderer vi om behandlingen av personopplysninger kan hjemles i lov eller en nødvendighetsvurdering (personopplysningsloven 8 d og 9 h). Vi foretar da en konkret vurdering av prosjektets formål og i hvilken grad det er nødvendig å basere seg på et prosjektopplegg uten samtykke for å oppnå formålet, og hvis det er tilfellet, i hvilken grad samfunnsnytten overstiger personvernulempen for den enkelte. Vi går i dialog med forsker om hvordan personvernet kan ivaretas uten å ødelegge for formålet. Våre råd kan f.eks. være å gi informasjon og reservasjonsmulighet, begrense omfanget og typen opplysninger, begrense varigheten, avidentifisere og sikre opplysningene bedre, og/eller redusere antall medarbeidere som får tilgang til personopplysninger. Gjennom saksbehandlingen av forskningsprosjekter som skal benytte sensitive opplysninger, har NSD altså lang praktisk erfaring med personvernvurderinger og konsekvensanalyser. Det gjelder også prosjekter på det medisinske og helsefaglige området, som før helseforskningsloven trådte i kraft i 2009, ble meldt til og vurdert av personvernombudet for forskning ved NSD. Også etter 2009 har NSD hvert år hatt et betydelig omfang prosjekter fra medisin- og helsefagene, blant annet fordi de store helseundersøkelsene og prosjekter som benytter data fra Reseptregisteret fortsatt er konsesjonspliktig. I tillegg kommer alle kvalitetssikringsprosjektene og forskningsprosjekter som benytter helseopplysninger men faller utenfor helseforskningsloven. I 2016 behandlet NSD rundt 1000 prosjekter fra helsefagområdet. Vi mener at disse erfaringene gjør NSD godt rustet til å bistå forskningsinstitusjonene med konsekvensanalyser når det nye regelverket skal implementeres og fortolkes i praktiske tilfeller. Være bindeledd mellom forskningsinstitusjonens ledelse, Datatilsynet og de registrerte Personvernombudet skal iht. forordningen være et sentralt kontaktpunkt ved behandlingsansvarlig institusjon, både for de registrerte og for tilsynsmyndighetene. NSD har med forankring i lov

fungert som et slikt kontaktpunkt siden personopplysningsloven trådte i kraft, og før dette under personregisterloven, basert på avtalen mellom NSD og institusjonene og institusjonenes rammekonsesjonsavtaler med Datatilsynet, der prosedyren med NSD som personvernrådgiver, saksbehandler og mellomledd var inkorporert. 11 I henhold til forordningen skal de registrerte kunne henvende seg til personvernombudet med alle spørsmål de måtte ha om behandlingen og om sine rettigheter (art. 38 (4)). Dette understrekes av art. 13(1b) og 14(1b) som krever at personvernombudets kontaktopplysninger inngår i informasjonen som de registrerte får, enten opplysningene hentes fra den registrerte selv eller fra andre kilder. I forsknings- og studentprosjekter hvor de registrerte kontaktes, anbefaler NSD alltid prosjektleder å informere om at prosjektet er meldt til eller tilrådt av personvernombudet eller har konsesjon fra Datatilsynet. Dette inngår også i malen til informasjonsskriv som vi har utarbeidet for forskningssektoren. Informasjonen de registrerte får synliggjør dermed hvilke instanser de kan kontakte ved eventuelle spørsmål eller klager i forbindelse med et prosjekt. Følgelig mottar NSD også med jevne mellomrom henvendelser fra forskningsdeltagerne. Vi bistår da forskningsinstitusjonen med å svare og veileder institusjonen om hvilke rettigheter vi mener den registrerte har i det konkrete tilfellet. Personvernombudet skal også være et kontaktpunkt for tilsynsmyndighetene (jf. art. 39 e). Det gjelder blant annet i forhåndsdrøftelser med Datatilsynet som forskningsinstitusjonen må foreta når en konsekvensvurdering som viser at personvernrisikoen ikke kan reduseres uten at institusjonen treffer tiltak (jf. art. 36(1)). Videre virker det rimelig å tolke forordningen dithen at ombudet bør involveres når forskningsinstitusjonen varsler brudd på persondatasikkerheten til Datatilsynet (jf. art. 33(3b)), og ved tilsyn (jf. art. 39 (1d) og art. 58(1). Forskningsinstitusjonene har allerede etablert rutiner for forhåndsdrøfting med Datatilsynet under veiledning av personvernombudet, gjennom avtalen de har med NSD. Når personvernombudet mottar melding om behandling av sensitive personopplysninger, vurderer vi som nevnt om det foreligger konsesjonsplikt eller om vilkårene er til stede for at NSD kan unnta fra konsesjonsplikt og gi tilrådning (iht. personopplysningsforskriften 7-27). I konsesjonspliktige prosjekter utformer vi konsesjonssøknad til Datatilsynet i samråd med forsker og bistår forsker videre i dialogen med tilsynet. Det gjelder også når forsker ønsker å klage på vilkår til Datatilsynet og når vedtak blir påklaget til Personvernnemnda. På forespørsel bistår vi også institusjonene i håndtering av avvikssaker -inkludert varsling til Datatilsynet- og ved tilsyn. Etter mange år i dialog og samarbeid med Datatilsynet er NSD godt kjent med tilsynets vurderinger. Når vi skriver konsesjonssøknader i samråd med forsker, handler det mye om å beskrive og begrunne behandlingen av personopplysninger, ved å vise at behandlingen er nødvendig og oppfyller lovkravene, og hvilke tiltak som er gjort for å sikre personvernet. Ikke sjelden innebærer konsesjonsbehandlingen en diskusjon mellom Datatilsynet på den ene siden og personvernombudet/forsker på den andre, om hvilke tiltak som kan gjøres for å redusere personvernulempen ytterligere, uten at det ødelegger for forskningsformålet. Tilsvarende vurderinger gjør NSD i prosjekter som er unntatt konsesjonsplikt, der vi gir tilrådning. Vi skulle derfor ha gode forutsetninger for å bistå institusjonene i dialogen med Datatilsynet også etter at forordningen trer i kraft. Basert på veiledning fra Datatilsynet (jf. art 35 (4)) vil NSD bistå institusjonene med å vurdere hvilke prosjekter som bør gjennomgå personvernkonsekvensanalyse, gjennomføre slike analyser i samråd med forsker/institusjon, sile ut prosjekter som bør til forhåndsdrøfting i Datatilsynet, og bistå forskerne og forskningsinstitusjonene i dialogen med Datatilsynet, inkludert eventuelle klager på vedtak. Prioritere innsatsen hvor personvernrisikoen er høyest art. 39 nr. 2 Forordningen art. 39 nr. 2 sier at personvernombudet ved utførelsen av sine oppgaver skal ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene. Vi tolker det slik at ombudet skal foreta en form for risikovurdering i prioriteringen av sine oppgaver og sette inn mest ressurser der personvernrisikoen er høyest.

NSD bruker i dag mest ressurser på forskningsprosjekter hvor personvernrisikoen er høyest. I forberedelsene til nytt lovverk har vi igangsatt et prosjekt hvor vi forenkler saksbehandlingen av prosjekter med lav personvernulempe ytterligere. Dette for å frigjøre mer tid til prosjekter som behandler sensitive persondata, og til prosjekter som behandler ikke-sensitive data, men som på grunn av tematikk/utvalg har relativt høy personvernulempe. Det frigjør også ressurser til å satse mer på veiledning og opplæring av institusjonens ledelse og forskerstøttepersonell, og til å bidra mer systematisk i institusjonenes eget arbeid med internkontroll. Vi mener derfor vi innfrir forordningens krav til personvernombudet når det gjelder oppgaver. 12 2.5 NSD som ressurs- og kompetansesenter (modell 3) Som alternativ til at NSD fortsetter som personvernombud for forskning, skisserer departementet en modell der «NSD fortsetter sin virksomhet som personvernrådgiver ved siden av den ordningen som reguleres av forordningen, for eksempel slik at en intern personvernrådgiver innhenter råd fra NSD». Etter det vi forstår mener departementet her at NSD kan fungere som et ressurs- og kompetansesenter som yter ulike typer personverntjenester for interne personvernombud ved forskningsinstitusjonene. Vi mener at dette vil være en dårligere løsning, både for institusjonene, for forskningen og for personvernet. Vi tror både forskningen og personvernet, og dermed institusjonene, vil tape på at NSDs rolle og uavhengighet svekkes i forhold til de oppgaver vi skal ivareta, og ved at det innføres formelt ledd mellom oss institusjonens ledelse, forskerstøttepersonell, forskere, studenter og de som blir gjenstand for forskning. NSD er opptatt av å sikre gode vilkår for forskningen. Uavhengig av hvilken modell myndighetene og forskningsinstitusjonene velger, vil vi stille oss positive til å finne løsninger som gjør at forskningssektoren fortsatt kan nyte godt av vår kompetanse og de tjenester vi i dag leverer på forskerstøtte- og internkontrollområdet. Vi mener imidlertid at det å opprette et internt personvernombud uten erfaringskompetanse på forskningsområdet, vil bli en dårlig løsning både for institusjonene og for personvernet. Vi er derfor tilfreds med at Departementet gjør det klart at en ordning med NSD som personvernombud for forskning er ønskelig og mulig også i fremtiden. 2.6 Overgangsordninger for prosjekter med gyldige konsesjoner og tilrådninger I høringsnotatet pkt. 15.3.3 (s. 73) ber Departementet om høringsinstansens syn på behovet for overgangsregler for gjeldende konsesjoner som er gitt med varighet utover forordningens ikrafttredelsestidspunkt. En løsning som skisseres er å overlate til Datatilsynet å bestemme overgangsordningene. Vi vil påpeke at det i så fall er viktig at tilsynet begrunner valget av ordninger. En annen løsning som skisseres er at overgangsordningene fastsettes i lov. NSD mener dette vil gi bedre forutsigbarhet og vilkår for forskningen. Vi mener det bør fastsettes (ved lov) at gjeldende konsesjoner er gyldige i 5-10 år etter forordningen trer i kraft, med mindre det foretas endringer i behandlingen som krever ny vurdering/tillatelse. Videre mener vi det bør fastsettes at de aktuelle behandlingene som har gyldig konsesjon ikke behøver være fullt i samsvar med forordningen. Grunnen til at vi forslår minst 5 års varighet for konsesjonene, er for å sikre at doktorgradsprosjekter kan ferdigstilles uten å måtte vurderes på nytt etter forordningen. Helst ser vi at konsesjonene får varighet i 10 år, slik at også større forskningsprosjekter og helseregistre kan fullføres uten nye vurderinger. Vi minner om at behandlinger som har konsesjon har vært gjenstand for en grundig vurdering av tilsynsmyndighetene etter dagens regelverk, det gjelder spesielt store og langvarige prosjekter og registre. Ettersom dagens lov har store likhetstrekk med forordningen, antar vi personvernkonsekvensvurderingene etter dagens og morgendagens lov ikke vil være så ulike. Det vil kreve forholdsvis store ressurser, både for forskerne, institusjonene og personvernombudene, å

foreta konsekvensvurderinger. Vi mener det vil være en unødvendig belastning å måtte foreta ny vurdering når personvernet et godt ivaretatt gjennom gjeldende konsesjoner. 13 Tilsvarende mener vi at gjeldende tilrådninger fra personvernombud bør gjelde i 5-10 år etter forordningens ikrafttredelse. Personvernombudene har mange og store oppgaver foran seg når forordningen trer i kraft. Vi mener det vil være en dårlig bruk av ressurser dersom ombudet skal måtte foreta nye personvernkonsekvensvurderinger av alle pågående prosjekter, når de allerede er konsekvensvurdert etter dagens regelverk. Vi håper departementet ser at det må foretas en kostnadnytte-vurdering her, og at personvernet ikke vil vinne så mye på ny vurdering i forhold til det det vil koste av ressurser. Vi mener personvernombudets ressurser utnyttes adskillig bedre ved å veilede institusjonene og forskerne som skal starte opp nye prosjekter om forordningens krav. Som alternativ, foreslår vi at forskningsinstitusjonene i samråd med personvernombudet lager en plan for å tilpasse pågående forskningsprosjekter og helseregistre, som har tilrådning fra ombudet, til forordningen. 3. Generelle kommentarer til forordningen 3.1. Et forskningsvennlig regelverk men nasjonalt handlingsrom kan skape utfordringer Det generelle inntrykket av forordningen er at den er forskningsvennlig og ivaretar forskningssektorens interesser og behov. De fleste av de viktige unntaksbestemmelsene som gjør det mulig å benytte personopplysninger til forskningsformål er videreført, tydeliggjort og styrket, noe som gir kontinuitet og fortsatt gode vilkår for forskningen. Samtidig åpner forordningen for nasjonale tilpasninger, spesielt på forskningsfeltet. Det skaper bekymring i forskningsmiljøene for at det kan bli store forskjeller mellom landene, slik at vilkårene for forsking, særlig på tvers av landegrenser, blir dårligere enn forordningen åpner for. Under vil vi kort nevne de viktigste bestemmelsene som sikrer forskningen gode vilkår i den nye forordningen. Deretter tar vi for oss utfordringer ved nasjonal implementering. 3.2 Viktige bestemmelser for forskning i ny forordning 3.2.1 Unntak fra formålsbegrensningen og oppbevaringsbegrensningen (art. 5) Forordningen art. 5 angir grunnleggende prinsipper for behandling av personopplysninger. Samtidig fastslår to av prinsippene viktige unntak for forskning. Såfremt nødvendige garantier er på plass for å sikre den registrertes rettigheter og friheter (jf. art. 89 (1)), kan personopplysninger som er samlet inn til andre formål viderebehandles til arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål uten at det anses «uforenelig med de opprinnelige formålene» (art. 5 (b)). Videre kan personopplysninger lagres i lengre perioder (der det normalt ville inntrådt en sletteplikt) når de utelukkende skal brukes til arkiv-/forsknings- og statistikkformål (art. 5 (e)). Forordningen sikrer dermed forskningen gunstige vilkår for lagring og gjenbruk av data. 3.2.2 Bredt samtykke til forskning (fortalen 33) Det norske regelverket åpner i dag bare for brede samtykker i helseforskningen, og ikke i forskningen generelt. Fortalen 33 fastslår at den registrerte bør kunne gi samtykke til visse områder innen vitenskapelig forskning, fordi det ofte ikke er mulig å identifisere formålene med forskningen fullstendig på tidspunktet for datainnsamlingen. Etter vår mening betyr dette at det nye regelverket i større grad åpner for at data som er basert på bredt samtykke lovlig kan gjenbrukes til nye forskingsformål, uten krav om nye samtykker eller begrunnelse for hvorfor det er nødvendig med nye analyser uten samtykke. 3.2.3 Bred definisjon av forskning (fortalen 159) Forordningen legger også til grunn en bred definisjon av forskning (jf. fortalen 159). Med et videre forskningsbegrep vil flere av behandlingene som i dag befinner seg i gråsonen mellom «forskningsog utviklingsprosjekter», «helseforskning», «kvalitetssikring» og «annen forskning på helseopplysninger», reguleres som forskning, og dermed dra nytte av den særstilling som forskningen gis i forordningen og de nasjonale komplementerende bestemmelsene.

3.2.4 Unntak fra den registrertes rett til informasjon og rett til sletting (art. 14 og art. 17) Artikkel 14(5 b) åpner for unntak fra den registrertes rett til informasjon når personopplysninger samles inn fra andre enn den registrerte, og det er umulig eller uforholdsmessig vanskelig å informere. Bestemmelsen understreker at unntaket særlig kan gjøres gjeldende når personopplysningene behandles for arkiv-/forskningsformål. Tilsvarende åpner art. 17(3 d) for unntak fra den registrertes rett til sletting, dersom behandling av opplysningene er nødvendig for arkiv-/forskningsformål. I begge tilfeller er det en forutsetning at rettighetene gjør det umulig eller i alvorlig grad hindrer formålet og at garantiene i art. 89(1) er til stede. 3.2.5 Mulighet for nasjonale unntak fra flere av de registrertes rettigheter (art. 89 og art. 23) Artikkel 89(2 og 3) åpner også for at nasjonal rett kan fastsette unntak fra flere av de registrertes rettigheter når personopplysninger utelukkende skal brukes til arkiv-/forskningsformål, dersom rettighetene gjør det umulig eller i alvorlig grad hindrer formålet, og garantiene i art. 89(1) er oppfylt. Det gjelder retten til innsyn (art. 15), retting (art. 16), begrensning (art. 18), behandlingsansvarliges underrettelsesplikt (art. 19), retten til dataportabilitet (art. 20) og innsigelse (art 21). Videre fastslår forordningen art. 23 at nasjonal rett på visse vilkår kan fastsette lovbestemmelser som gir ytterligere begrensninger i den registrertes rettigheter og den behandlingsansvarliges plikter etter art. 12-22. 3.3 Nasjonalt handlingsrom på forskningsområdet viktig at norsk lov tar i bruk mulighetene Forordningen legger altså godt til rette for forskning. Samtidig åpner art. 89 og art. 23 et relativt stort handlingsrom for nasjonale tilpasninger i lovverket. Det medfører bekymring for at noen land kan få strengere regler enn andre, slik at forskningssamarbeid på tvers av landegrenser blir vanskelig. Vi ser derfor grunn til å understreke at EU gir det nye regelverket i form av en forordning, nettopp for å harmonisere reglene om behandling av personopplysninger i Europa. Ensartede regler er viktig for å gjennomføre intensjonen om fri flyt av personopplysninger, jf. art. 1 nr. (3). Fortalen 159 presiserer at implementeringen av nytt regelverk bør ta hensyn til Unionens mål om å skape et europeisk forskningsområde. NSD mener det er viktig at forordningen implementeres så likt som mulig i de nordiske landene, så vel som i Europa. Vi understreker viktigheten av at norske lovgivere ser hen til andre land, særlig Sverige, Danmark og Finland, ved utformingen av den nye personopplysningsloven og særlovene som gir lovlig grunnlag for utlevering, sammenstilling og behandling av personopplysninger til forsknings- og arkivformål. På denne måten sikres likebehandling av forskningsvirksomheten, slik at forskere og forskningsinstitusjoner i Norden og Europa kan operere på like vilkår. NSD mener videre det er viktig at Norge tar i bruk mulighetene som ligger i forordningen, slik at den nye personopplysningsloven blir så forskningsvennlig som mulig. NSD er generelt positiv til departementets forslag til ny personopplysningslov. Samtidig mener NSD at noen av forskningens behov er oversett i lovforslaget. I det følgende vil vi derfor påpeke og begrunne behovet for noen flere bestemmelser for å ivareta forskningen. 14 4. Ny personopplysningslov: NSDs kommentarer og forslag til flere bestemmelser for å ivareta forskningsbehovene 4.1 Generelt NSD støtter departementets forslag om å implementere unntaksbestemmelsene i art. 89 nr. 2 og 3 og videreføre unntakene fra innsynsretten (jf. lovforslaget 13 og 14). Vi støtter også lovforslagets 6 som gir behandlingsgrunnlag for sensitive personopplysninger til forsknings- og arkivformål i allmenhetens interesse. Vi ser imidlertid behov for noen flere bestemmelser for å sikre forskningen gode vilkår. Det gjelder bl.a. for å sikre behandlingsgrunnlag for ikke-samtykkebasert forskning på ikke-sensitive opplysninger, og for å muliggjøre forskning på strafferettslige opplysninger. Vi ønsker også en generell bestemmelse om sammenstilling og utlevering, for å sikre forskningen god adgang data. Videre mener vi det er viktig å åpne for noen flere unntak fra registrertes rettigheter. Under vil

vi utdype og begrunne disse forslagene, og kommentere noen av de foreslåtte bestemmelsene som har størst betydning for forskning. 4.2 Behandlinger «i allmennhetens interesse» forordningens art. 6 bokstav e) 4.2.1 Forutsetningen om supplerende rettsgrunnlag I kapittel 7 legger departementet til grunn at forordningen art. 6 bokstav e) ikke utgjør et selvstendig behandlingsgrunnlag, men må suppleres av et nasjonalt rettsgrunnlag. Departementet ber om tilbakemelding på konkrete tilfeller av behandlinger der det er behov for et slikt supplerende rettsgrunnlag i norsk lov. NSD mener det er behov for supplerende rettsgrunnlag for forskning og arkivering av personopplysninger som i dag har behandlingsgrunnlag i personopplysningsloven 8 d) og 9 h). I det følgende vil vibegrunne dette. 4.2.2 Behov for behandlingsgrunnlag for forskning som i dag har hjemmel i 8 d) og 9 h) Som personvernombud saksbehandler NSD årlig omkring 200-300 forskningsprosjekter som behandler personopplysninger med hjemmel i personopplysningsloven 8 d), hvorav omkring halvparten behandler sensitive personopplysninger slik at de også har hjemmel i 9 h). Dette er forskningsprosjekter hvor det er umulig eller uforholdsmessig vanskelig å innhente samtykke fra de registrerte, ofte på grunn av utvalgets størrelse (registerstudier), eller fordi det behandles opplysninger om tredjeperson eller ikke-samtykkekompetente. Forordningen art. 6 nr. 3 krever egen nasjonal lovhjemmel for behandling av personopplysninger til forskningsformål som ikke er basert på gyldig samtykke, men som er nødvendig for å utøve en oppgave i allmennhetens interesse. Dette gjelder både ikke-sensitive og sensitive personopplysninger, jf. art. 9 nr.2, bokstav j. Dette er også, så langt vi kan se, i samsvar med HOD sin tolkning av forordningen. 3 I utkast til ny personopplysningslov 6 foreslås det at sensitive personopplysninger på visse vilkår skal kunne behandles til forskningsformål i allmennhetens interesse. Tilsvarende bestemmelse er ikke foreslått for bruk av ikke-sensitive personopplysninger. Vi er derfor bekymret for at forskningsprosjekter som trenger slike opplysninger kan komme til å mangle behandlingsgrunnlag etter forordningen. For å sikre behandlingsgrunnlag for forskning på ikke-sensitive personopplysninger uten samtykke, er det viktig med et generelt rettsgrunnlag i den nye personopplysningsloven som dekker både sensitive og ikke-sensitive opplysninger og dermed supplerer forordningen art. 6 nr. 1 bokstav e), jf. art. 6 nr.3. Vi viser til at Sverige legger opp til en generell bestemmelse som sikrer lovlig grunnlag for forskning i allmennhetens interesse, jf. 6 i forslag til forskningsdatalov. 4 4.2.3 Behov for behandlingsgrunnlag for arkivformål «i allmennhetens interesse» som i dag har hjemmel i 8 d) og 9 h) Som nasjonalt arkiv for forskningsdata, arbeider NSD også med å arkivere, tilrettelegge og formidle data til forskningsmiljøer, nasjonalt og internasjonalt. I våre arkiver lagres også personidentifiserbare forskningsdata. De fleste opplysningene arkiveres på grunnlag av samtykke, men i enkelte tilfeller kan det være behov for å arkivere opplysninger basert på en nødvendighetsvurdering (i dag 8 d) og 9 h)). Det kan f.eks. være historiske registre over personer med offentlige verv, eller forskningsdata det er viktig å bevare for fremtidig forskning som er basert på samtykker av eldre dato og derfor ikke oppfyller dagens samtykkekrav. For at NSD og andre arkiver som lagrer og formidler data til forskningsformål skal kunne fortsette med dette, er det viktig at loven gir tydelig adgang til å behandle persondata til arkivformål i allmennhetens interesse. Arkivloven gir i dag adgang til arkivering. Men forholdet mellom arkivplikten etter arkivloven og sletteplikten etter personopplysningsloven kan være uklar. Dette kan føre til tolkningstvil om forskningsarkivenes adgang til å arkivere persondata til forskningsformål uten samtykke. Den beste måten å sikre behandlingsgrunnlag for forskningsdataarkiv som ikke 3 Høringsforslag fra Helse- og omsorgsdepartementet: Forskrift om befolkningsbaserte helseundersøkelser, s. 21. 4 Jf. SOU 2017:50, Personuppgiftsbehandling för forskningsändamål s. 44. 15

omfattes av bestemmelsene i arkivloven er etter vår vurdering å innføre en uttrykkelig lovbestemmelse i ny personopplysningslov som supplerer forordningen. En slik hjemmel vil utgjøre en viktig garanti for fremtidig forskning på eksisterende data. For å sikre behandlingsgrunnlag for arkivformål både for ikke-sensitive og sensitive personopplysninger uten samtykke, er det viktig med et generelt rettsgrunnlag i den nye personopplysningsloven som supplerer forordningen art. 6 nr. 1 bokstav e), jf. art. 6 nr.3. Vi viser til at det nasjonale dataarkivet i Finland (FSD) i sin høringsuttalelse til den finske personopplysningsloven har påpekt behov for en bestemmelse som sikrer arkivene lovlig adgang til å behandle personopplysninger i allmennhetens interesse. 4.2.4 Vurdering av bruk av andre alternativer i art. 6 som behandlingsgrunnlag for forsknings- og arkivformål Den svenske utredningen viser til at interesseavveining i art. 6 nr. 1 bokstav f) kan brukes som behandlingsgrunnlag for forskningsformål, men mener likevel at dette ikke er tilstrekkelig for å sikre alle typer forskning et gyldig behandlingsgrunnlag. NSD tror ikke at forordningen art. 6 nr. 1 bokstav f) kan utgjøre behandlingsgrunnlag i tilfellene nevnt over, og viser til at det ikke har vært vanlig praksis å hjemle slik behandling i interesseavveining etter dagens lov, jf. 8 f. De øvrige alternativene i art. 6 fremstår heller ikke som relevante. NSD mener det er behov for en bestemmelse i norsk lov som klart og entydig fastslår at personopplysninger kan brukes til forskningsformål og arkivformål «i allmenhetens interesse», med hjemmel i forordningens art. 6 nr. 1 bokstav e). Dette for å tydeliggjøre at forskningsvirksomhet og arkivering av forskningsdata helt klart er behandlinger som skjer «i allmennhetens interesse». Det er etter vår oppfatning riktigst å hjemle behandlinger til forskningsformål i «allmennhetens interesse», og ikke i en interesseavveining (jf. art. 6 nr. 1 bokstav f). Interesseavveiningen kan oppfattes som et svakere behandlingsgrunnlag som gir forskningsinstitusjonene større «bevisbyrde» fordi de må begrunne at forskningen er et legitimt formål. En klar og entydig presisering i lovteksten om at forskning er å anse som «allmennhetens interesse», derimot, mener vi er den sikreste garantien for at loven blir praktisert i samsvar med intensjonene. Entydige formuleringer i personopplysningsloven vil slå fast at bestemmelsene i loven normalt ikke vil være til hinder for forskningens og forskningsdataarkivenes behandling av personopplysninger. Dette vil sikre større grad av forutsigbarhet og like vilkår for arkivering og forskning på personopplysninger uavhengig av særlovgivningen. Av samme grunn er det viktig at en slik hjemmel ikke kun gis i særlovgivningen, men løftes frem i den generelle lovgivningen (personopplysningsloven). 4.2.5 Behov for bestemmelse som presiserer at offentlige og private forskningsinstitusjoner kan forske på personopplysninger i allmennhetens interesse I tillegg til ovennevnte, mener vi den norske personopplysningsloven bør presisere at både offentlige og private forskningsinstitusjoner kan utføre forskning på personopplysninger i allmennhetens interesse. Dette for å sikre private forskningsinstitusjoners adgang til å bruke «allmennhetens interesse» som lovlig behandlingsgrunnlag. En slik presisering ligger i det svenske forslaget til en samlet forskningsdatalov. Det fremgår av forordningens fortale 122 at private organer kan utføre oppgaver i allmennhetens interesse. Men det er altså viktig både for private og offentlige organer, og for forskningen som sådan at loven klart og entydig signaliserer at forskning er å anse som «allmennhetens interesse». 4.3 Behandling av sensitive opplysninger til arkiv- og forskningsformål (lovforslaget 6 og forordningen art. 9) NSD støtter lovforslaget 6 som fastsetter vilkår for behandling av sensitive opplysninger til forsknings- og arkivformål. Slik vi oppfatter det, er forslaget i all hovedsak en videreføring av gjeldende rett og praksis på området. Som personvernombud for forskning får hoveddelen av norske forskningsinstitusjoner tilrådning fra NSD til forskningsprosjekter som skal behandle sensitive personopplysninger, i tråd med bokstav d) og de øvrige vilkårene i lovforslaget. NSD bistår med å vurdere om samtykke kan/bør innhentes (jf. bokstav a). Hvis ikke vurderer NSD om 16

behandlingen kan baseres på en nødvendighetsvurdering (jf. bokstav b). I disse tilfellene bidrar personvernombudet ofte til bedre dokumentasjon av behandlingsgrunnlaget både ved å be forsker beskrive prosjektets formål og samfunnsnytte mer utførlig, og ved å anbefale tiltak som reduserer personvernulempene til et minimum uten å ødelegge for forskningsformålet (jf. bokstav c). Basert på vår erfaring mener vi at lovforslaget 6 vil gi god beskyttelse både av personvernet og av forskningsinteressene. Vi mener det er fornuftig med vilkår om tilrådning fra personvernombud, enten behandlingen av sensitive opplysninger baseres på samtykke eller ikke. Vår erfaring er at forskere ofte har behov for forhåndsveiledning for å sikre at man ikke trår feil i forhold til regelverket, f. eks. når det gjelder hvorvidt man behandler personopplysninger, hva som må til for at samtykke skal være gyldig, hva informasjonen til de registrerte bør inneholde, og hvilke sikkerhetstiltak man bør sette inn. Forhåndsveiledningen bidrar i mange tilfeller ikke bare til bedre personvern, men også til bedre vilkår for forskningen. Vilkårene om at samfunnsinteressene klart skal overstige personvernulempene (når forskningen ikke kan baseres på samtykke) og vilkåret om at behandlingsansvarlig skal iverksette egnede tiltak for å verne den registrertes rettigheter gjelder også i dag, og vil etter vårt syn ikke endre forskningens vilkår i nevneverdig grad. Det kan stilles spørsmål ved om en tilrådning fra personvernombud vil gi gode nok garantier for de registrertes rettigheter, ettersom regelverket åpner for mange unntak for forskning og en tilrådning alltid vil innebære en viss grad av skjønn. Slik vi ser det, legger imidlertid forordningen sterke føringer på hva personvernombudet kan vektlegge i sine vurderinger, gjennom alle sikkerhetsmekanismene som er tatt inn for å beskytte personvernet. Vi tenker da bl.a. på reglene om formålsbegrensning, dataminimering og lagringsbegrensning (art. 5), krav til behandlingsgrunnlag (art. 6) og vilkår for samtykke (art. 7), det generelle forbudet mot behandling av sensitive og strafferettslige personopplysninger (art. 9 og 10), den registrertes rettigheter (art.12-22), og kravene om innebygd personvern (art. 25) og informasjonssikkerhet (art. 32). Kombinert med reglene for konsekvensutredning og forhåndsdrøfting av behandlinger som medfører høy personvernrisiko (art. 35 og 36) og strenge krav til den behandlingsansvarlige om å ha oversikt (art. 30) og sikre og påvise at forordningen følges (jf. art. 24), mener vi rammene for personvernombudets tilrådninger er gode. For at (BA skal kunne stole på at) personvernombudets vurderinger er gode og i samsvar med forordningen, krever det selvfølgelig at ombudet er uavhengig, har nok ressurser og høy kompetanse både om personvernregelverket og om forskning. Som kjent stiller forordningen også krav til dette. Forordningen er dermed full av garantier som personvernombudet må ta med i sine vurderinger. Selv om forordningen og forslaget til ny personopplysningslov gir anledning til å gjøre mange unntak for forskning, vil det sjelden være aktuelt å gjøre unntak på alle punkt i ett og samme forskningsprosjekt. Det kreves en god begrunnelse og en tydelig lovhjemmel for hvert unntak man skal foreta, og et unntak må gjerne veies opp av at man styrker personvernet på andre måter. For eksempel kan personvernombudet akseptere unntak fra hovedregelen om samtykke og informasjon, under forutsetning av at forsker reduserer antall og type opplysninger til et minimum av hva som er nødvendig (dataminimering) og samtidig begrenser antallet forskere som har tilgang til personidentifiserbare data (konfidensialitet). Det er den behandlingsansvarlige sitt ansvar å sørge for at personvernombudet har god nok kompetanse og ressurser til å foreta disse vurderingene slik at vurderingene ivaretar personvernet og er i samsvar med kravene i regelverket. NSD bemerker at ordlyden i forslagets 6 førsteledd bokstav a) gir samtykke forrang foran de andre behandlingsgrunnlagene. Vi kan ikke se at forordningen art. 6 og art. 9 legger opp til en så tydelig rangering, og oppfatter det derfor som et noe strengere krav (begrensning) departementet foreslår skal gjelde ved behandling av sensitive personopplysninger til arkiv-/forskningsformål. Kravet om at samtykke skal vurderes først gjelder også i dag. Det innebærer at behandlingsansvarlig alltid må begrunne hvorfor samtykke ikke kan innhentes, der dette er umulig eller uforholdsmessig vanskelig. Vår erfaring er at dette vanligvis ikke skaper store problemer for forskningen. Når forsker er i direkte kontakt med utvalget (som ved intervju- og spørreundersøkelser), er det naturlig å innhente 17

samtykke. Når forsker ikke er i kontakt (som ved registerstudier, dokumentanalyser og noen former for observasjonsstudier), er det ofte ikke så vanskelig å argumentere for at forskningen ikke kan baseres på samtykke. Grunnene er gjerne at utvalget er stort, forsker mangler kontaktopplysninger eller er ikke i direkte kontakt etc. Det er imidlertid viktig at det ikke utvikler seg en praksis hvor det blir for høy terskel for å definere innhentingen av samtykke som «uforholdsmessig vanskelig». NSD vil anbefale at Norge her legger seg på samme linje som andre land. 4.4 Behov for behandlingsgrunnlag for forskning på strafferettslige opplysninger (forordningen art. 10) I henhold til forordningens art. 10 er det bare tillatt for offentlige myndigheter å behandle strafferettslige opplysninger, med mindre nasjonal lov (eller unionsretten) fastslår noe annet. Forordningen konstaterer også at «alle omfattende registre over straffedommer» bare kan føres under en offentlig myndighets kontroll. NSD mener det er svært viktig å få på plass en generell bestemmelse i personopplysningsloven som gir private og offentlige forskningsinstitusjoner lovlig behandlingsgrunnlag til å forske på strafferettslige opplysninger. En slik bestemmelse har blitt foreslått i Sverige, Danmark og Finland. I den nye norske personopplysningsloven foreslår vi at det presiseres at lovforslagets 6 også gjelder for behandling av strafferettslige opplysninger til forskningsformål. Videre mener vi at det viktig med en avklaring av hva som menes med «omfattende registre». Dette for å få klarhet i hvor store registre over strafferettslige opplysninger som kan behandles for forskningsformål. Sist, men ikke minst er det viktig at særlovene som regulerer offentlige myndigheters behandling av strafferettslige opplysninger inneholder hjemler som gir et tydelig lovlig grunnlag for å utlevere slike opplysninger i personidentifiserbar form til forskning. Dette er viktig å sikre bl.a. i rettspleielovene, politiregisterloven og i ny lov om behandling av personopplysninger i Kriminalomsorgen. Disse lovene bør ha bestemmelser som gir klare regler for sammenstilling og utlevering av personopplysninger om strafferettslige forhold til forskning. Slike bestemmelser er viktig, ikke bare på strafferettsområdet. 4.5 Behov for generell bestemmelse om adgangen til å sammenstille og utlevere personopplysninger til forskningsformål Mange særlover inneholder i dag bestemmelser om sammenstilling og utlevering av personopplysninger til forskning. Som eksempler kan nevnes statistikkloven, helseregisterloven og forskriftene til de store helseregistrene. Slike bestemmelser finnes imidlertid ikke i alle lover som regulerer viktige datakilder for forskningen. For eksempel har inkassoloven (som har bestemmelser om taushetsplikt, men ikke for utlevering til forskning) gjort det vanskelig å forske på opplysninger hos inkassoselskapene. Dessverre er det også slik at de lover og forskrifter som åpner for sammenstilling og utlevering ikke alltid er like tydelige. Dette medfører ulik praksis hos de som forvalter dataene, noe som vanskeliggjør forskning. Et eksempel er reseptregisterforskriften som i dag hindrer tilgang til opplysninger som er svært viktig for forskningen, noe NSD har vist i sak 2015-12 i Personvernnemnda. Et annet eksempel er statistikkloven som i kombinasjon med SSBs praksis, medfører hindringer for forskningens bruk av viktige data, noe som fremgår av innspillene til statistikklovutvalget både fra NSD og UHR. For å sikre forskningen bedre tilgang til data, mener NSD det er viktig å få inn en generell bestemmelse i den nye personopplysningsloven som gir adgang til sammenstilling og utlevering av personopplysninger til forskingsformål. En slik bestemmelse vil legge føringer for en bedre og likere utforming av særlovgivningen. Det vil gi entydig signal til alle som forvalter særlovgivningen og viktige registre som forskningen trenger tilgang til, om at det er lov å utlevere data til forskning også i personidentifiserbar form når det er nødvendig for forskningsformålet. Vi viser til at Sverige foreslår en slik generell bestemmelse, 15 forslaget til ny forskningsdatalov som fastslår at det er lov å utlevere personopplysninger til forskningsformål: 18

19 «Personuppgifter får lämnas ut för att behandlas för forskningsändamål, om inte något annat följer av regler om sekretess och tystnadsplikt. Vid sådan personuppgiftsbehandling behöver artikel 14.1 4 i dataskyddsförordningen inte iakttas. Detta hindrar inte att villkor enligt 6 lagen (2003:460) om etikprövning av forskning som avser människor får avse den information som ska lämnas till den registrerade.» (Utlämnande av personuppgifter.)» Vi anbefaler altså at en tilsvarende bestemmelse tas inn i den norske personopplysningsloven, og at bestemmelsen åpner for sammenstilling i tillegg til utlevering. 4.6 Unntak fra den registrertes rettigheter (lovforslaget 13 og 14) 4.6.1 NSD støtter forslaget om å implementere unntakene i art. 89 og unntak fra innsynsretten Lovforslaget 14 fastsetter unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål. NSD støtter forslaget om at unntakene som nevnes i forordningen 89 nr. 2 og 3 skal gjelde i Norge. NSD støtter også fullt ut departementets forslag om å videreføre unntaket fra innsynsretten, under henvisning til forordningen art. 23. Departementet begrunner forslaget med at «[i]nnsynsretten ( ) vil kunne medføre en betydelig arbeidsbyrde, som kan være uforholdsmessig dersom behandlingen verken får rettsvirkninger eller direkte faktiske virkninger for den registrerte. Både arkiv, forskning og statistikk har vesentlig betydning for samfunnet, og departementet legger derfor til grunn at hensynet til å sikre gode rammevilkår for slik virksomhet må anses som et viktig mål av generell samfunnsinteresse( ).» Departementet ber høringsinstansene om innspill på om det er behov for å fastsette flere unntak fra de registrertes rettigheter i nasjonal rett, slik art. 23 åpner for. NSD ser behov for noen supplerende unntak når personopplysninger benyttes for forsknings- og arkivformål, utover de unntak som er fastsatt i lovforslaget 13 og 14. I disse tilfellene mener vi en tilsvarende begrunnelse som departementet har for unntak fra innsynsretten kan gjøres gjeldende. 4.6.2 Behov for unntak for dataportabilitet også for forsknings- og statistikkformål Lovforslaget 14 første ledd gir på visse vilkår unntak fra retten til dataportabilitet når personopplysninger behandles til arkivformål, men gir ingen tilsvarende unntaksbestemmelse for forsknings- og statistikkformål. NSD vil påpeke at det er behov for unntak fra retten til dataportabilitet også når personopplysninger behandles til forsknings- statistikkformål. I høringsnotatet s. 48 påpeker departementet at retten til dataportabilitet i henhold til forordningen art. 20 nr. 3 ikke gjelder behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse. Dette unntaket vil, etter vår oppfatning, bare gjelde når behandlingen av personopplysninger har hjemmel i forordningen 6 nr. 1 e) og supplerende rettsgrunnlag i nasjonal rett, jf. drøftelsen ovenfor. Når det gjelder samtykkebasert forskning, vil den registrerte imidlertid kunne hevde rett til dataportabilitet slik lovforslaget nå er utformet. Denne retten mener vi kan medføre en betydelig og uforholdsmessig arbeidsbyrde for forskere, på samme måte som innsynsretten. For å sikre gode rammevilkår for arkiv, forskning og statistikk, anbefaler vi at man inkluderer en bestemmelse om unntak fra retten til dataportabilitet i lovforslagets 14 andre eller tredje ledd. Vi viser til at forordningens fortalepunkt 156 fastslår at det i nasjonal rett kan gjøres unntak fra retten til dataportabilitet ved behandling av personopplysninger for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. 4.6.3 Behov for unntak fra underrettelsesplikten også for forskningsformål Forordningens art. 19 fastslår at behandlingsansvarlige har plikt til å underrette hver mottaker som har fått utlevert personopplysninger om enhver korrigering, sletting eller begrensning. Bestemmelsen gir samtidig unntak fra underrettelsesplikten dersom det viser seg å være umulig eller

kreve en uforholdsmessig stor innsats. Dette er unntak som vi antar særlig kan være aktuelle for forskning. I forslaget til ny personopplysningslov gir 14 første ledd unntak fra underrettelsesplikten kun for arkivformål. Vi vil anbefale å ta inn en bestemmelse i 14 andre eller tredje ledd om at det kan gjøres unntak fra underrettelsesplikten også når personopplysningene behandles for forskningsformål og statistikkformål. 4.6.4 Behov for unntak fra plikten til å underrette registrerte om brudd på personopplysningssikkerheten Lovforslaget 13 c) gir unntak fra retten til informasjon og innsyn for opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forhold til personer som står vedkommende nær. Forslaget 13 fjerde ledd gir unntak fra plikten til å underrette den registrerte om brudd på personopplysningssikkerheten når underretningen vil røpe opplysninger som nevnt i første ledd a, b og d. Etter vårt syn bør 13 fjerde ledd også gi unntak fra plikten til å varsle berørte når varslingen kan røpe opplysninger som nevnt i første ledd bokstav c. 4.7 Utvidet mulighet til å gi overtredelsesgebyr i Norge (lovutkastet 21) I tillegg til sanksjonsmulighetene som fremgår av forordningen art. 83, foreslår departementet at brudd på bestemmelsen om behandling av personopplysninger om straffedommer og lovovertredelser (art. 10) og den behandlingsansvarliges ansvar (art. 24), skal kunne sanksjoneres med overtredelsesgebyr. Vi gjør oppmerksom på at forslaget om sanksjonsmulighet for brudd på art. 24, skiller seg fra lovforslagene i de andre nordiske landene. Etter hva vi kan se, foreslår verken Danmark, Sverige eller Finland en tilsvarende bestemmelse. Vi ser at en slik bestemmelse kan virke skjerpende på institusjonenes etterlevelse av loven, men vil påpeke at de fleste vil ha vansker med å kunne dokumentere fullstendig «compliance» med regelverket. I lys av at Datatilsynet gjerne bruker tilsyn ved enkeltinstitusjoner for å «sette eksempler», kan en slik bestemmelse kombinert med forordningens høye overtredelsesgebyrer ramme hardt og tilfeldig. Vi anbefaler at Norge følger de nordiske landene på dette området. Forslaget om sanksjonsmulighet for brudd på art. 10, derimot, er i helt tråd med det andre nordiske land legger opp til. Danmark legger opp til at slike brudd skal kunne straffes med bøter eller fengsel (se lovforslaget 41), mens Sverige legger opp til sanksjonsavgift i tråd med forordningen art. 83 nr. 5 (se forslaget om ny dataskyddslag kapittel 7 2). Dette forslaget vil dermed i større grad (enn det ovenfor nevnte forslaget) sikre likebehandling av de nordiske forskningsinstitusjonene. 4.8 Lovens formål og virkeområde (lovforslaget kapittel 1 og 2) I utkastet til ny personopplysningslov fastslår 1 at forordningen skal gjelde. Lovens formål og virkeområde fremgår imidlertid ikke innledningsvis, slik loven vanligvis er utformet. Dette kan være uvant for de som skal anvende personopplysningsloven, og i verste fall medføre misforståelser og uenighet om disse helt sentrale bestemmelsene. Vi kan illustrere en potensiell misforståelse. Når lovforslaget 4 ikke gjengir forordningens bestemmelser om geografisk virkeområde, men bare fastslår tilleggsbestemmelser, kan det for uerfarne brukere av loven se ut som om reglene i personopplysningsloven (fra 6 og utover) bare gjelder Svalbard og Jan Mayen. I Danmark har man inkludert saklig og geografisk virkeområde i forslaget til loven som skal supplere forordningen, selv om disse bestemmelsene repeterer forordningen (se det danske lovforslaget kapittel 1 og 2). For eksempel fastslås det under geografisk virkeområde at loven gjelder for behandlingsansvarlige og databehandlere som er etablert i Danmark, samt for behandling av personopplysninger om registrerte som befinner seg i Danmark. Dette mener vi er klargjørende. For forskningsinstitusjonene er det viktig å være trygge på når de må forholde seg til den norske personopplysningsloven. Gjelder for eksempel loven når en norsk forskningsinstitusjon foretar datainnsamling i et annet europeisk land? Og motsatt gjelder loven dersom en 20

forskningsinstitusjon fra et annet europeisk land kommer til Norge for å samle inn personopplysninger? For å klargjøre og unngå misforståelser i slike viktige spørsmål, anbefaler vi at saklig og geografisk virkeområde (slik det er beskrevet i forordningen) skrives inn i den norske loven, videre fulgt av de norske særbestemmelsene som skal gjelde i tillegg til forordningen. Departementet kan med fordel også gi vurderinger i forarbeidene om når de norske rettsreglene kommer til anvendelser for behandling av personopplysninger på tvers av landegrenser, spesielt når det gjelder forskning innad i Europa både i tilfeller der norske forskningsinstitusjoner foretar forskningen, og i tilfeller der norske borgere er gjenstand for forskningen. Videre anbefaler vi at lovens formål (slik dette er beskrevet i forordningen) tas inn i den norske personopplysningsloven, f.eks. umiddelbart etter 1. 4.9 Unntak for akademisk ytring (lovforslaget 3 og forordningen art. 85) I likhet med departementet synes NSD det er uklart hva som menes med «behandling av personopplysninger med henblikk på akademiske ytringer». Det kan være vanskelig å trekke en skarp grense mellom bruk av personopplysninger med henblikk på akademiske ytringer, og behandling av personopplysninger i forskningsøyemed. Følgelig er det også uklart hvilken rekkevidde unntaket for akademiske ytringer i lovforslaget 3 vil ha. Vi vil anta at unntaket handler om å beskytte den akademiske ytringsfriheten og de akademiske arbeidsmetodene, kanskje særlig innenfor kvalitativ forskning. Det er imidlertid ikke så lett å forstå hvilke konkrete utslag unntaksregelen vil gi når det gjelder forskeres behandling av personopplysninger. Her vil det bli behov for veiledning. Vi viser til analyser og uttalelser om temaet i høringsuttalelsen til den engelske personopplysningsloven fra British Academy og Economic and Social Research Council, samt den svenske utredningen (SOU 2017:50, side 107-113). Vi kan også kort påpeke at begrepsbruken varierer noe mellom ulike land. I Sverige kalles det «akademiskt skapande», i Danmark «akademisk virksomhed», England m.fl. «academic expression». Den svenske utredningen legger til grunn at unntaksregelen først og fremst handler om å beskytte den akademiske ytringsfriheten. «Akademisk ytring» (eller uttrykk) er i så fall en god norsk oversettelse. 21 5. Innspill til særlovgivningen på forskningsområdet 5.1 Generelt Departementet ber om høringsinstansens innspill på særlovgivningen. Fra NSDs ståsted er det viktig at særlovgivningen gir gode vilkår for forskningen. Det gjelder: Lovene og forskriftene som gir behandlingsgrunnlag til å opprette forsknings- og kvalitetsregistre med personopplysninger, og Lovene og forskriftene som gir adgang til å sammenstille og utlevere personopplysninger til forsknings- og kvalitetssikringsformål. 5.2 Behov for eksplisitte bestemmelser om sammenstilling og utlevering Vi har i punkt 4.4 og 4.5 påpekt og gitt nærmere begrunnelse for behovet for en generell bestemmelse i personopplysningsloven som fastslår at personopplysninger kan sammenstilles og utleveres til forskningsformål. Vi vil kort gjenta her at klare og tydelige regler i særlovgivningen er svært viktig for at de som forvalter registrene (f.eks. SSB og FHI) og andre dataprodusenter og - forvaltere skal være trygge på når de har lov til å utlevere data til forskning. Dette gjelder ikke minst ved forespørsler om utlevering av data til nordiske og europeiske forskningsprosjekter, der personopplysninger skal samles i registre på tvers av landegrenser. Dagens praktisering av lovverket er at norske dataforvaltere i liten grad vil utlevere personopplysninger til slike prosjekter, noe som bl.a. har vanskeliggjort nordisk registerforskning.

NSD mener derfor det er viktig å få på plass bestemmelser i særlovgivingen og den nye personopplysningsloven som klart og entydig slår fast at personopplysninger kan sammenstilles og utleveres til forskning i land som har implementert forordningen, samt å gi bestemmelser som gir klare vilkår for når slik sammenstilling og utlevering kan skje. Det vises i den forbindelse til det pågående arbeidet med ny statistikklov, forskrift om befolkningsbaserte helseundersøkelser og arbeidet med forskriftsregulering av de nasjonale kvalitetsregistrene, mv. Et viktig aspekt å ta stilling til ved utforming av norsk lover som regulerer viktige datakilder for forskning, er om eventuelle forhåndstillatelser for tilgang til norske data (dersom det foreslås slike) skal måtte innhentes i Norge, dersom et forskningsprosjekt er godkjent (f.eks. gjennom forhåndsdrøfting med tilsynsmyndigheten) i et annet europeisk land. 5.3 Behov for tydelige bestemmelser om behandlingsgrunnlag 5.3.1 Gjennomgang av de sentrale lovene Flere særlover kan gi behandlingsgrunnlag for opprettelse av personregistre til forsknings- og kvalitetssikringsformål. De mest sentrale er helseforskningsloven og helseregisterloven. I tillegg gir pasientjournalloven og helsepersonelloven 26 behandlingsgrunnlag for interne kvalitetsregistre i helsetjenesten. NSD vil understreke viktigheten av at lovene og bestemmelsene som gir behandlingsgrunnlag er tydelige, slik at forskningsinstitusjonene kan være sikre på hva som gir lovlig adgang til å opprette ulike typer helseregistre. 5.3.2 Helseforskningsloven Medisinske og helsefaglige forskningsprosjekter får i dag behandlingsgrunnlag gjennom forhåndsgodkjenning fra Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) iht. helseforskningsloven. Hvilke krav som vil stilles til helseforskningen fremover, og hvilken rolle REK skal ha, avhenger av de rammene forordningen og den nye personopplysningsloven setter, og av hvilke tilpasninger som blir gjort i særlovgivningen. For forskningsmiljøene blir det særlig spennende å se om et generelt krav om forhåndsgodkjenning (konsesjon) opprettholdes for norsk medisinsk og helsefaglig forskning, mens krav til forhåndsgodkjenning avvikles i andre europeiske land. Etter det vi kan se, tar Justisdepartementet utgangspunkt i at kravet om forhåndsgodkjenning fra REK avvikles med forordningen. I utkastet til ny personopplysningslov foreslår departementet å oppheve den generelle konsesjonsplikten, også for behandling av genetiske opplysninger, biometriske opplysninger og helseopplysninger, jf. forordningen art. 9 nr. 4. Departementet presiserer at så langt konsesjonsordningen ikke videreføres, kan bestemmelsen om forhåndsgodkjenning fra REK oppheves (på s. 124). Slik vi oppfatter det, tolker også Helse- og omsorgsdepartementet forordningen slik at kravet om forhåndsgodkjenning fra REK avvikles, jf. høringsnotatet til forskrift om befolkningsbaserte helseundersøkelser. Justisdepartementet foreslår imidlertid en forskriftshjemmel i ny personopplysningslov som åpner for at konsesjonsplikt kan innføres i særlovgivningen dersom dette anses nødvendig på et spesifikt område, for eksempel når det gjelder helseforskning. Departementet ber om høringsinstansenes syn på dette. Behov for juridisk forhåndsgodkjenning for helseforskning? NSD mener det ikke bør innføres et generelt krav om forhåndsgodkjenning for helseforskningen, verken fra Datatilsynet eller fra REK. Personvernet i helseforskningen vil, etter vår oppfatning, bli godt ivaretatt gjennom forordningen og den nye personopplysningsloven. Her bør Norge også se hen til andre lands lovgivning før man velger å opprettholde et generelt krav til forhåndsgodkjenning av medisinsk og helsefaglig forskning. Forordningen pålegger forskningsinstitusjonene stort ansvar for egenkontroll, blant annet gjennom plikten til å ha oversikt over behandlingene, foreta konsekvensutredninger under veiledning av personvernombudet, forhåndsdrøfte med Datatilsynet, og gjennom plikten til sikkerhet og risikovurderinger. Dersom forskningsinstitusjonene i tillegg må innhente forhåndsgodkjenning fra Datatilsynet eller REK for hvert helseforskningsprosjekt, mener vi det vil bli en stor byrde for forskerne og 22

helseforskningen, som ikke nødvendigvis medfører bedre personvern. Etter vårt syn vil et tilleggskrav om forhåndsgodkjenning snarere gi unødvendig byråkrati. Dette er også så langt vi kan forstå i tråd med de vurderinger HOD legger til grunn i forslaget til forskrift om befolkningsbaserte helseundersøkelser. Forslaget til ny personopplysningslov gir en generell regel om at alle institusjoner som skal behandle personopplysninger til forskningsformål først må opprette personvernrådgiver/-ombud og innhente tilrådning fra ombudet (jf. forslaget 6). Flertallet av norske forskningsinstitusjoner har frivillig innført denne ordningen og er derfor godt forberedt på dette. Slik vi forstår forordningen og det norske lovforslaget, vil prosjekter som etter dagens regelverk meldes til REK, også omfattes av denne ordningen uavhengig av om kravet til forhåndsgodkjenning fra REK opprettholdes (slik praksis var før helseforskningsloven). Dette mener NSD er en fornuftig ordning. NSD har god kompetanse til å foreta personvernvurderinger for forskning på det medisinsk og helsefaglige området. Før helseforskningsloven kom i 2009 saksbehandlet vi et stort antall medisinsk og helsefaglige forskningsprosjekter. Etter helseforskningsloven har vi også hatt enkelte helseforskningsprosjekter til behandling fordi de trenger konsesjon for tilgang til data fra Reseptregisteret eller IPLOS. Hvert år har vi også et relativt stort tilfang av prosjekter som befinner seg i «gråsonen» mellom helseforskning, «annen forskning på helseopplysninger» og kvalitetssikring, se fig. 3. Vi mener derfor at både personvernet og forskningen vil være godt ivaretatt dersom vi går tilbake til ordningen som gjaldt før helseforskningsloven kom, der prosjektene fikk tilrådning fra personvernombud. 23 1200 Medisin- og helsefag 1000 800 600 400 200 0 2008 2009 2010 2011 2012 2013 2014 2015 2016 Figur 3 Antall meldinger; medisin og helsefag NSDs tjenester på internkontrollområdet vil også bidra til å styrke forskningsinstitusjonenes egenkontroll med helseforskningen. Vi er kjent med at mange institusjoner i dag mangler oversikt over prosjekter som faller inn under helseforskningsloven og derfor ikke har hatt mulighet til å følge opp disse i henhold til lovkrav om internkontroll. Dette til forskjell fra prosjekter som behandles med hjemmel i helseregisterloven, meldes til personvernombudet ved NSD og registreres i Meldingsarkivet som et sentralt virkemiddel i institusjonenes internkontrollsystem.

1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 201700161/62 arkiv 311 Erfaringene i Norge viser at en gradvis nedbygging av konsesjonsplikten kombinert med større vekt på tilsyn og krav til institusjonene, har resultert i at institusjonene nå har betydelig større fokus på eget ansvar og internkontroll enn tidligere. Merk at da Datatilsynets forslag til endring av personopplysningsforskriften i 2004 foreslo at konsesjonsplikten skulle bygges ytterligere ned, var forutsetningen at behandlingen måtte være godkjent av et personvernombud. I forslaget er NSDs viktige rolle og kvalitetssikrende funksjon før oppstart av forskningsprosjekter ved de fleste forskningsinstitusjoner i Norge fremhevet som et argument for å begrense Datatilsynets forhåndskontroll. Datatilsynet skrev også at det foreslåtte unntaket fra konsesjonsplikt for forskning innebar en endring fra forhåndskontroll til etterkontroll fra Datatilsynets side, og at Datatilsynet antok at tilsyn vil ha større effekt på personvernet enn forhåndskontroll av konsesjonspliktige prosjekter fordi den stedlige kontrollen vil øke institusjonenes fokus på personvernet og resultere i at flere prosjekter blir meldt til Personvernombudet. Det viste seg at Datatilsynet hadde rett. Antall meldinger og endringsmeldinger til personvernombudet har eksplodert. Figur 4 viser at volumøkningen har vært stor, også etter 2009 da institusjonene la om prosedyrene for prosjekter som ble regulert av den da nye helseforskningsloven og unntok forskerne sine fra plikten til å melde til institusjonens personvernombud. 24 5000 Nye prosjektmeldinger til NSD 4000 3000 2000 1000 0 Figur 4 Antall meldinger fordelt på år Fortsatt behov for etiske- og medisinskfaglige vurderinger fra REK. REK har en egen kompetanse til å foreta forhåndsvurderinger og godkjenne forskningsprosjekter i forhold til etiske- og medisinskfaglige vurderinger og standarder. Vår erfaring etter nesten ti år med helseforskningsloven, er at det er god bruk for denne kompetansen, ikke bare i de prosjektene som faller innenfor helseforskningsloven, men også i annen forskning som innebærer medisinske tester/inngrep og andre former for «forsøk på mennesker». Det gjelder for eksempel en del idrettsforskning (blodprøver, kondisjonstester o.l.) og arbeidsmiljøforskning (testing av verneutstyr). Så lenge formålet med disse prosjektene gjør at de faller utenfor helseforskningsloven, faller prosjektene også utenfor REK sitt ansvarsområde når det gjelder etiske vurderinger, jf. forskningsetikkloven 10. Det kan imidlertid være behov for medisinskfaglige og etiske vurderinger også i disse tilfellene, på lik linje med når medisinske tester/inngrep gjennomføres i helseforskningsprosjekter. NSDs støtter som sagt departementets forslag om at den generelle plikten til å innhente forhåndsgodkjenning fra REK bortfaller for behandling av helseopplysninger til forskningsformål og mener at dette bortfallet også bør omfatte medisinsk og helsefaglig forskning. Vi anbefaler imidlertid at REK i fremtiden gis mandat til å gi en etisk godkjenning av forskning på mennesker som innebærer direkte kontakt med forskningsdeltagere ved medisinske tester, intervensjoner, invasive studier (klinisk utprøving av legemidler, operative inngrep).